أكبر هجوم على سلسلة التوريد في التاريخ يستهدف مستخدمي العملات الرقمية من خلال حزم JavaScript المخترقة

يستهدف هجوم إلكتروني جديد العملات المشفرة من المستخدمين بشكل صامت أثناء المعاملات، في حادثة وصفها باحثو الأمن بأنها أكبر هجوم على سلسلة التوريد في التاريخ.

أفاد موقع BleepingComputer أن القراصنة اخترقوا حسابات صيانة حزم NPM عبر رسائل تصيد إلكتروني وحقنوا برمجيات خبيثة تسرق العملات المشفرة.

استهدف الهجوم مطوري JavaScript برسائل بريد إلكتروني احتيالية تبدو وكأنها صادرة من “support@npmjs.help”، وهو نطاق منتحل يقلد سجل NPM الشرعي.

حذرت رسائل التصيد الصيانة من أن حساباتهم ستُقفل في 10 سبتمبر، ما لم يقوموا بتحديث بيانات المصادقة الثنائية الخاصة بهم عبر رابط خبيث.

نجح المهاجمون في اختراق 18 حزمة JavaScript مستخدمة على نطاق واسع، مع إجمالي تنزيلات أسبوعية يتجاوز 2.6 مليار.

تتضمن المكتبات المخترقة أدوات تطوير أساسية مثل “chalk” (300 مليون تنزيل أسبوعياً)، و“debug” (358 مليون)، و“ansi-styles” (371 مليون)، مما يؤثر فعلياً على كامل نظام JavaScript البيئي.

استهداف العملات المشفرة

تعمل الشيفرة الخبيثة كأداة اعتراض قائمة على المتصفح، تراقب حركة مرور الشبكة بحثاً عن معاملات العملات المشفرة عبر شبكات Ethereum وBitcoin وSolana وTron وLitecoin وBitcoin Cash.

عندما يبدأ المستخدمون تحويل العملات المشفرة، تقوم البرمجية الخبيثة باستبدال عناوين محافظ الوجهة بصمت بحسابات يتحكم بها المهاجمون قبل توقيع المعاملة.

شرح باحث الأمن في Aikido Security، Charlie Eriksen:

“ما يجعلها خطيرة هو أنها تعمل على عدة طبقات: تغيير المحتوى المعروض على المواقع، العبث باستدعاءات API، والتلاعب بما تعتقد تطبيقات المستخدمين أنها تقوم بتوقيعه.”

حذر المدير التقني لشركة Ledger، Charles Guillemet، مستخدمي العملات المشفرة من التهديد المستمر، مشيراً إلى أن نظام JavaScript البيئي قد يكون مخترقاً نظراً لأرقام التنزيل الضخمة.

يظل مستخدمو المحافظ الصلبة محميين إذا تحققوا من تفاصيل المعاملة قبل التوقيع، بينما يواجه مستخدمو المحافظ البرمجية خطراً أكبر. نصح Guillemet:

“إذا لم تكن تستخدم محفظة صلبة، امتنع عن إجراء أي معاملات على السلسلة في الوقت الحالي.”

وأشار أيضاً إلى عدم اليقين بشأن ما إذا كان بإمكان المهاجمين استخراج عبارات البذور مباشرة من المحافظ البرمجية.

استهداف متطور

يمثل الهجوم استهدافاً متطوراً لسلسلة التوريد حيث يخترق المجرمون بنية التطوير التحتية الموثوقة للوصول إلى المستخدمين النهائيين.

من خلال التسلل إلى حزم يتم تنزيلها مليارات المرات أسبوعياً، حصل المهاجمون على وصول غير مسبوق إلى تطبيقات العملات المشفرة وواجهات المحافظ.

حدد موقع BleepingComputer بنية التصيد التي تقوم بتسريب بيانات الاعتماد إلى “websocket-api2.publicvm.com”، مما يوضح الطبيعة المنسقة للعملية.

تأتي هذه الحادثة بعد اختراقات مماثلة لمكتبات JavaScript طوال عام 2025، بما في ذلك هجوم يوليو على “eslint-config-prettier”، الذي كان لديه 30 مليون تنزيل أسبوعياً، واختراقات مارس التي أثرت على عشرة مكتبات NPM شهيرة.

ظهر هذا المنشور لأول مرة على CryptoSlate تحت عنوان أكبر هجوم على سلسلة التوريد في التاريخ يستهدف مستخدمي العملات المشفرة من خلال حزم JavaScript المخترقة.